anpera.net

Jaa guten tag die Damen und herren
ich bin mal wieder da mit einem kleinen Problem, und zwar hatte ich bis heute (wie viele andere auch) HTML in den Bios erlaubt. Nur allerdings wurd mir erst heut bewusst, das es eine sehr derbe schwachsetlle ist (nachdem mein neuer mod sich mal mit meinem char eingeloggt hat wärhend ich on war ö.Ö

ich will jetzt auch nicht zu viel ausplaudern und womöglich noch eine Anleitung zumm logd server hacken schreiben.

Aber sagen wir es mal so man kann es unterbinden, indem man das ';' in den Bios Sperrt.
aber wie macht man das?

da bin ich überfragt. Ich hatte versucht einfach die Bio in ein If zu stecken, das die Bio ausblendet, sobald ein Symikolon in der Bio vorhanden ist.. und ja dadran bin ich auch dann leider schon gescheitert.

Hat jemand eien idee wie man ein If formulieren könnte, das es eingreift, wenn in der variable "bio" ein ; auftaucht?

if(strpos($row[bio],";")<1){
bio
}else{
warnung
}
geht nicht ^^

ich bin da echt total überfragt.. das problem ist, ich hätet gern weiter html in den Bios, würde aber auch ungern ne große schwachstelle behalten^^.

btw Ennfach nur bestimmte html tags zulassen funktionietr nicht, da der "Hackcode" auf einem simplen
<img src="
und mit onload erweitert wurde.

und naja.. bilder sollte man schon in die bio tun können.. naja ist meine meinung ... :9

vielleicht habt irh ja eine idee ich bin vollkommen überfragt.

Du kannst es ja mal mit preg_match versuchen

Irgendwie so *gg* dieser Code lässt nur Aa-Zz und 0-9 zu, musst du halt mit deinen Zeichen die du zulassen willst erweitern.
$this->bbcode_second_pass_code('', '
$pattern = "^[a-zA-Z0-9]+$";
if (preg_match('.$pattern.', $row['bio'])) {
// alles ok
} else {
echo "nicht ok";
}
')

_________________
Legend of the Green Dragon - Die Mysterien um Ched Nasad

könnte man das auch so machen das man einträgt welche verboten sidn? zeichen udn zeichen folgen? dann könnte man auch wörter verbieten wie .xss .XSS .script .PHP .php ect^^

denn dann könnte man auch das ; drin lassen, denn wenn man dateiendungen verbietet, kann man schlecht auf andere datein verweisen die extern aufgerufen werden zb in nem 0x0px frame

Mhh..

ich bin selbst so nicht der Freund, von HTML- erlaubten Tags. Deshalb solltest Du evtl. den Usern die möglichkeit geben, in BBCode- artiger Form, etwas anzubieten. So lässt sich der Code auch etwas leichter handhaben, und der regEx dürfte wesentlich sauberer dadurch wirken. (regEx ggf. in der Datenbank speichern)

Mhh soweit ich weiß gibt es mit BB-code abe rnicht umbedingt die Möglichkeit Tabellen zu errichten, nicht wahr?

Nicht direkt möglich.
Man müsste sich dafür einfach nur selbst einen BBCode für basteln bzw. das ganze zurecht schnippseln.

Zudem, was willst Du überhaupt mit Tabellen in der Bio?! - Dann kannst Du ja zugleich die Biographie selbst anpassen

Nunja, ich möchte eben das die user so viel gestaltungsfreiheit haben wie es geht , irh versteht? "Nur Text" bios wirken doch auf dauer oft Langweilig (Somal sie im gesamt bild oft gleich wirken) eine mit tabellen schön gestaltete Bio ist doch etwas worauf man stolz sein kann :p

also es wärhe möglich bb codes zu erweitern? Das währe ja schonmal richtig toll

Dafür musst Du erstmal BBCodes besitzen bzw. etwas in der Form... ;-) - Ist halt viel Aufwand, für eig. kaum nennenswerte Arbeit? Naja, back to topic. ;-)

Schon, da hast du recht, aaaber was tut an nicht alles um die user Glücklich zu machen? und najaunseren usern sind schöne bio wichtig, aus welchem grund auch immer >.<

abe reifnacher wärs eben die dateinendungen zu verbieten *grübel* ein if gibt es dafür wirklich nicht ne? ;_;

Versuche die Version von Arath, damit sollte es klappen - wohlmöglich musst du natürlich noch erweitern.^^

Loool^^ jau ich versuch es mit Arath methode abe rich hab heut gemerktd as fast alle Userbios gesperrt waren wegen musik codes von deezer, ect xD

$this->bbcode_second_pass_code('', 'if(strpos($row[bio],";")<1){
bio
}else{
warnung
}')


scheint doch zu funktionieren, doch kann man das leicht umgehen, indem man das aller erste zeichen ein ; macht dann gehts dennoch, wieso auch immer >.< ich hatte es ja von der Avatar erkennung in der prefs übernommen, eigendlich müsste der ja dann beim letzten zeichen ja sagen oder? und nicht beim ersten *hust*

aber ich versuch es weiter und wenn ich durch zu fall mal die perfeckte lösung finde Poste ich sie hier x)

Schau dir doch einfach mal die Manual Seite zu strpos an....

_________________
Mehr oder minder inaktiv

Mal ne Frage.

Warum gehst Du nach

"Alles erlauben, aber versuchen Schadcode gezielt auszufiltern"

vor, und nicht nach

"Nur erlauben was ich will, Rest verbieten"

?

Ich glaub, das hängt damit zusammen, daß hier einfach Leute lieber im Knie popeln und drei Zeilen ändern anstatt mal über den globalen Sinn nachzudenken...klar, sind ja nur ein paar Zeilchen einfach ändern, dann gehts... und schon ist ein Loch da in der Größe von New York.


Okay, für ganz faule:

* accounts table neues feld image
* "wie ist der link zu deinem bild" + input feld in die prefs.php
* bio.php --> selektiere aus der accounts tabelle das image für den user der angezeigt wird (ID) und speichere in $image
* bio.php --> ruf einfach "<img src='".htmlentities($image)."'>" auf ....

dann trennt ihr Bild von Text/Inhalt, wie es sich gehört.... wenn ihr schon Leuten HTML erlauben wollt, dann baut einen BB-Code mod... aber NIE blanken HTML.

_________________
Entwicklung Lotgd 1.2.2 +nb
1.2.1 +nb ist final

Bugreports/Testing erwünscht, http://nb-core.org

Wichtige Info für Programmierersucher:
viewtopic.php?f=34&t=4285

Baut doch nicht die ganze Accounts-Tabelle so voll! Das ist Sinnlos...

japp, aber bevor ich ihm noch ne extra Tabelle mit reinen userprefs anlege... soll er lieber das so machen...

_________________
Entwicklung Lotgd 1.2.2 +nb
1.2.1 +nb ist final

Bugreports/Testing erwünscht, http://nb-core.org

Wichtige Info für Programmierersucher:
viewtopic.php?f=34&t=4285

Nunja der COde zum hacken de rmir Persöblich aufgefallen ist (ich möchte nicht zu viel verraten O.o) ist ein einfaches <img src='bla'>.. nur es wurd emit einem bööösen onload=' erweitert.. daher kann ich ja gern nur das zulassen was ich will nur müsste ich dann leiderdürfte ichd ann ganrhicts zulassen weil man ja alles mit Onload erweitern kann :/ daher einfach ; udn noch nen paar andere begriffe sperren udnd ie sache hat sich xD

warum rede ich eigentlich.

naja, wenn du eben deinen server gern offenlassen magst, dann mach das doch einfach.
wenn du weiter so denkst, wird es genau weiter so enden.

du wirst weiter verwundbar bleiben, außer du änderst die systematik ^^ aber das willst du anscheinend nicht, weils dir zuviel aufwand ist...

dann lassen wir das doch einfach. =)

_________________
Entwicklung Lotgd 1.2.2 +nb
1.2.1 +nb ist final

Bugreports/Testing erwünscht, http://nb-core.org

Wichtige Info für Programmierersucher:
viewtopic.php?f=34&t=4285

aah aaah aahh idee idee iddeee!^^

Kann man nicht bestimmte html tags als farbcodes gestalten? zb:

`murl`m = bild
`a = table

würde das hin hauen? x)

und dann html natürlichin der bio verbieten^^

Wo liegt in Deinen Worten eine neue Aussage?
Farbcodes... klar. `a das ist mein link <---das ist jetzt der link? ich möchte sehen, wie du das umsetzt... vor allem mit dem schließen solcher Tags =)

_________________
Entwicklung Lotgd 1.2.2 +nb
1.2.1 +nb ist final

Bugreports/Testing erwünscht, http://nb-core.org

Wichtige Info für Programmierersucher:
viewtopic.php?f=34&t=4285

joo das mit dem umsetzen hab ich auhc grad gemerkt >.<

und wie erwartet habe ich beim schließen probs gehabt xD

och mennoo *hoil*